">

SD-WAN安全五项基本原则

fabio-oyXis2kALVg-unsplash

众所周知,安全性是兑现SD-WAN商业价值的首要前提和后盾。SD-WAN技术具有许多优势,例如更大的灵活性和更低的传输成本。但是,一旦将流量从结构化的专用MPLS VPN转移到公共宽带链路上,安全性就成了第一位的考量因素,这也使得网络安全厂商的SD-WAN解决方案相比传统网络厂商更具竞争力,因为对于SD-WAN而言,安全性比连接性更加具有挑战性,大量安全厂商的涌入为SD-WAN市场带来了丰富的选择,但有时也会让用户“挑花了眼”。

为了确保网络韧性和安全性,企业选择SD-WAN解决方案时,需要参考以下五项基本原则:

1.将SD-WAN安全性集成到企业的整体安全性体系结构中

许多企业错误地将SD-WAN安全性视为孤立的问题,而不是将其作为整体企业安全策略的关键要素。 网络安全技术提供商 Perimeter 81的首席执行官Amit Bareket 指出:“大多数组织都将SD-WAN视为提供一定程度数据加密的连接工具。但事实上SD-WAN解决方案通常并不是用来提供数据安全服务的,对SD-WAN定位的错误认知会让企业面临安全风险。”

Bareket建议,对于SD-WAN流量的防护,组织及其安全团队应开发一种方法,该方法应将监视数据流量的基于策略的控制规则与整体SDN管理的检测响应模型集成起来。他说:“通过将安全放在首位,SD-WAN相当于为企业网络的漏洞增加了一个防护层。”

2.不要将SD-WAN看作传统的网络技术

用传统物理网络的经验去理解SD-WAN安全性是错误的,传统的物理网络会自动对数据流施加某些限制,但这并不适用于SD-WAN。网络安全公司Menlo Security的首席技术官Kowsik Guruswamy 解释说:“例如,在传统网络中,您必须考虑流量模式和带宽要求。” “这将决定您在何处以及如何执行安全策略。” 但是SD-WAN基于互联网,传统网络中的管控限制手段在这里并不适用。

3.不要将安全性与单个供应商绑在一起

随着网络基础架构的扩展和新威胁的到来,企业的安全需求随着时间的推移而发展。在保留基本SD-WAN投资的同时,企业还需要网络具有灵活的功能,可以在出现新的攻击媒介时快速经济地迁移到其他安全解决方案,这是一项宝贵的安全能力。不幸的是,一些SD-WAN供应商将客户锁定在某个专有安全技术堆栈中。VMware的VeloCloud业务部门高级总监Karl Brown 表示:“这种SD-WAN方案没有为将来提供灵活性,也没有提供与现有安全基础结构一起使用的灵活性。”

4.不要依赖传统防火墙

使用传统的WAN,分支机构的流量可以回传到企业数据中心,由传统防火墙处理,或者在分支机构中部署与边缘路由器分开维护的传统防火墙。Brown认为:“这可能会导致一些问题,例如昂贵的带宽,沉重的性能损失,不可预测的应用程序性能以及不必要的复杂分支IT管理。” “借助SD-WAN,企业可以通过便宜的互联网服务,更有效地将流量发送到云和SaaS工具,或者云托管网关。”

但是,在分支机构位置部署SD-WAN访问时,企业必须采取额外的安全预防措施,因为连接到互联网会产生更广泛的攻击面。Brown建议:“减轻这种新安全风险的最佳方法是利用云的功能来检测和缓解威胁。” 他还建议采用统一的管理方法,合并模板化的策略和审核,并在每个分支机构集成网络和安全性。“总的来说,企业可以有效地实现和维护一致的先进威胁管理战略,”他指出。

5.正确部署SD-WAN设备

许多SD-WAN用户在防火墙后部署SD-WAN设备或在故障排除和/或配置SD-WAN设备时意外绕过了防火墙。WatchGuard网络安全产品管理副总裁B rendan Patterson 认为:“在这种情况下,企业根本没有安全性,这使他们处于感染恶意软件的高风险中。”

可以通过将SD-WAN设备安装在防火墙前面来避免SD-WAN设备放错位置造成的安全漏洞,处理WAN连接的同时防火墙也能继续保护内部网络。Patterson 指出,对SD-WAN进行任何更改后,记住要重新检查所有安全控制,这一点很重要。

Patterson还建议企业利用最新的网络安全技术。 他解释说: “许多统一威胁管理设备(UTM)和下一代防火墙现在都提供SD-WAN功能,例如智能路径路由。” “使用这些内置功能还可以解决[放置]问题,并且可以减少管理和维护两个设备的成本。”这对于中小型企业来说通常是一个不错的选择。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签:


关于作者

IT到底是重要呢还是重要呢还是重要呢

X